Но все это лирика. Как недавно оказалось, «русский след» в атаках на демократическую партию США в Иллинойсе был выражен не так уж и активно. А один из основных агрументов в пользу «следа» оказалось использование злоумышленниками наших серверов. Мы — российская компания, и, видимо, американцы решили, что если злоумышленники воспользовались нашими серверами, то они тоже из России.
Насколько мы знаем, злоумышленники работали не только с нашими серверами, но внимание СМИ привлекло именно то, что задействована в ходе атаки оказалась российская компания. Самое интересное то, что до 15 сентября на сервера, которые использовали киберпреступники, не приходили жалобы и обращения. Никто не предпринимал никаких попыток изъять сервера или хотя бы попробовать связаться с нами. После того, как мы узнали о проблеме, сервера сразу же были отключены от Сети.
Мы провели тщательное расследование. Анализ внутренних данных позволяет нам говорить о том, что российские спецслужбы никаким образом непричастны к атаке (ну или разведчики хорошо замаскировались). Дело в том, что у нас сохранились все логи досупа к адмиистративной панели управления серверами после зачистки ПО, которое использовали хакеры. Мы проанализировали логи и получили список из примерно 10 различных IP адресов злоумышленников. Ни один из этих IP не является российским.
«Серверы работали с мая 2016 года, т, е несколько месяцев. Сегодня после статьи, были отключены. Никаких жалоб за это время мы не получали, никаких запросов от Нидерландской полиции не было. Логи авторизаций показывают, что входы были через IP принаждлежащим странам Скандинавии (Норвегия, Швеция) и Европейского Союза (Италия), IP Российских компаний мы не нашли», — говорит Владимир Фоменко, глава King Servers.
Плюс ко всему, злоумышленники обращались в нашу службу поддержки на ломаном английском языке. Со стороны «русских разведчиков» было бы довольно странно так себя вести. Плюс ко всему, те, кто арендовал наши серверы, остались должны 290 долларов США за услуги аренды серверов. Думаем, что логичным шагом будет выслать счет президенту той страны, которую объявят виновной в проведении атаки :)
Оплата за серверы производилась при помощи довольно известной в России полу-анонимной платежной системы. В России она известна своим сотрудничеством с американскими органами безопасности. Оба арендуемых злоумышленниками сервера, скорее всего, контролировались одним лицом. Дело в том, что IP входа совпадает и там, и там (на момент входа в систему). Этот человек (или команда) не слишком хорошо знают английский, что подтверждается обращениями в тикет. Плюс ко всему, при регистрации этот человек использовал ник Robin Good (а не Hood).
Сейчас у нас есть все материалы расследования, копии серверов и лог-файлов, плюс переписку. Если потребуется, можем предоставить эти данные правоохранительным органам и СМИ в соответствии с законодательством.
Мы хотели бы подчеркнуть, что считаем своим долгом донести данную информацию до общественности и отдельно благодарим пресс-службу компании ChronoPay, любезно согласившуюся оказать содействие в данном вопросе.
Комментарии (23)
x893
15.09.2016 18:03Вы уверены, что ваши сервера были первыми в цепочке соединения?
Полученные IP адреса кому принадлежат?
Есть диаграмма (и есть это другой провайдер) соединений?
Обычно используется 3/4G (со сменным IMEI) для первого соединения и 5-6 провайдеров до выхода на цель. Было бы неплохо (если есть данные) нарисовать полную картину.
Dimd13
15.09.2016 18:53Ник пользователя без условно говорит о том насколько хорошо он дружит с иностранными языками.
AstorS1
15.09.2016 23:04Начинаю уставать от представления нашей страны в качестве империи интернет-зла. Ещё пример
vc9ufi
16.09.2016 10:12-1Начинаю уставать от представления представления нашей страны в качестве империи интернет-зла
alexsocute
16.09.2016 10:11Может кто подскажет из лингвистов, Robin Hood читается/переводится у нас как Робин Гуд. Вопрос в том, в каких языках он еще так читается/переводится. С буквой «Г».
Потому что Robin Good очень указывает на русское коверканное слово.
Vlkam1
16.09.2016 10:12Написание ник Robin Good (а не Hood)
Вроде бы это чисто русскоязычная ошибка?ildarz
16.09.2016 11:51Я думаю, не обязательно именно русскоязычная, но, как минимум, намекает, что родной алфавит автора — не латиница. С другой стороны — а вдруг человек не лажанулся, а просто подумал над заметанием следов? We need to go deeper. :D
idle
16.09.2016 12:38Почему не латиница? Вот, например, нашёлся RobinGood в Твиттере — некто итальянец Луиджи.
gricom
16.09.2016 12:48-1я не очень понимаю, каким образом люди, причастные к stuxnet, имеют право возмущаться, что их взломали. Это политическая конкуренция, здесь нет правил, кроме права сильного (к сожалению это именно так)
idle
16.09.2016 12:57Дэк это они не возмущаются, а пытаются использовать ситуацию, и при этом не только не проиграть, но и поиметь максимальную выгоду на антироссийской истерии.
ildarz
16.09.2016 12:50Просто предположение — на языках, использующих латиницу, написание с большей вероятностью будет верным. Но если только это ошибка, а не сознательное искажение, например. Ясное дело, что на самом деле в качестве отдельно взятого факта это не говорит вообще ни о чем. :))
LoadRunner
16.09.2016 16:50А почему искажение? Может он изначально хотел быть «Хорошим Робином»? Ну или скаламбурил чуточку.
P. S. А я хотел себе ник LodeRunner, но мне тогда было 17 лет и я забыл правильное написание.
SkyMind
16.09.2016 10:12+1Тут как в сказке о мальчике и волках — никто уже просто не поверит очередному «это не мы», даже если вдруг утверждение окажется правдой. Что, на мой лично взгляд, крайне маловероятно.
extempl
16.09.2016 14:01Согласен, причём, вероятность того, что российским хостингом будет пользоваться иностранец субъективно меньше, чем местный через впн какой-нибудь.
TimsTims
16.09.2016 13:131) Робин Гуд — так только на русском и говорят)
2) «Ломанный английский» — тоже вполне подходит под наших. Очень странно видеть европейца, который если и умеет говорить на английском, то делает это более-менее сносно.
Vlad_fox
16.09.2016 15:24+1Анализ внутренних данных позволяет нам говорить о том, что российские спецслужбы никаким образом непричастны к атаке… Ни один из этих IP не является российским.
формально логически такой вывод необоснованный.
что мешает спецслужбам (неважно какой страны) использовать IP другой страны?
опять же, есть основания думать, что компетенция спецов, которые занимались взломом такого уровня, позволяет сделать последующий «Анализ внутренних данных» спецами провайдера мягко говоря малополезным.
ну и наконец заявления Директора национальной разведки США наверняка основаны на куда большем количестве фактов, чем рассмотрены в данной статье. Эти люди говорят очень редко и обычно 7 раз отмеряют чем раз отрезать…
ildarz
А как должны были вести себя русские разведчики? :) Общаться на идеальном английском, лондонский диалект? На русском? Или там на украинском, чтобы уж наверняка со следа сбить?
Dimd13
Еще никогда Штирлиц не был так близко к провалу.
paratrooper5730
просто прийти в офис хостера с
паяльникомксивой и сказать, что они тут ни при чем, честно-честно